Implementación del rol de servidor Transporte perimetral en una organización de Exchange 2003 antes de actualizar a Exchange 2010

  • Artículo

 

Se aplica a: Exchange Server 2010 SP2, Exchange Server 2010 SP3

Última modificación del tema: 2012-07-23

El uso de un servidor Transporte perimetral puede proporcionar reglas de correo electrónico no deseado, antivirus y transporte para una organización de Exchange. Puede implementar y configurar un servidor Transporte perimetral para que funcione como host inteligente en la red perimetral de una organización de Microsoft Exchange Server 2003 antes de empezar a actualizar los servidores de Exchange 2003 a Exchange Server 2010. Si bien resulta más recomendable implementar Exchange 2010 en la organización de Exchange 2003 y utilizar suscripciones perimetrales, quizá desee empezar a usar servidores Transporte perimetral antes de iniciar la actualización. Esta opción de implementación puede ser recomendable en los casos siguientes:

  • Desea empezar a usar las ventajas de la protección perimetral antes de iniciar la actualización de la organización de Exchange.

  • Tiene varios sitios que no se actualizarán al mismo tiempo; asimismo, desea que los servidores de estos sitios envíen correo directamente al perímetro antes de que se actualicen.

  • Tiene una implementación de Exchange 2010 y la organización se fusiona o adquiere otra organización con Exchange 2003 implementado, y desea centralizar el flujo de correo a través de los servidores Transporte perimetral.

Nota

En la situación que se describe en este tema, no hay ningún equipo que ejecute Microsoft Exchange Server 2010 que se haya implementado en una organización de Exchange. Esto limita las características disponibles en el servidor de transporte perimetral ya que no puede usarse ninguna característica que dependa de una suscripción perimetral. Las características que dependen de una suscripción perimetral son la búsqueda de destinatarios y la agregación de lista segura. Si quiere crear una suscripción perimetral, debe implementar al menos un servidor de transporte de concentradores de Exchange 2010 en la organización de Exchange y configurar la organización para la coexistencia. Para obtener más información, consulte Actualización desde el servicio de transporte de Exchange 2003.

¿Está buscando otras tareas de administración relacionadas con los servidores de transporte perimetral? Consulte Administración de servidores de transporte.

Requisitos previos

  • Se ha implementado un servidor de transporte perimetral en la red perimetral. Para conocer los pasos detallados, consulte Realizar una instalación personalizada de Exchange 2010.

  • Se ha configurado un servidor de transporte perimetral para que realice procesos contra correo no deseado y antivirus y para que aplique reglas de transporte. Para obtener instrucciones detalladas, consulte Administración de funciones antivirus y contra correo no deseado y Administración de reglas de transporte.

  • Se configuraron dominios aceptados en el servidor de transporte perimetral. Necesita crear una entrada de dominio aceptado para cada dominio SMTP para el cual la organización de Exchange recibe mensajes de correo electrónico. Para conocer los pasos detallados, consulte Tareas posteriores a la implementación de un servidor de transporte.

  • Compruebe la configuración del registro de recursos de intercambio de correo (MX) del sistema de nombres de dominio (DNS) para esos dominios y realice cualquier cambio que sea necesario para que el correo electrónico a los dominios aceptados se dirija al servidor de transporte perimetral.

  • Determine el método de autenticación que se utilizará para ayudar a proteger la conexión entre el servidor de transporte perimetral y la organización de Exchange. Recomendamos usar una autenticación básica sobre Seguridad de la capa de transporte (TLS). De forma alternativa, puede decidir utilizar Protegido externamente como mecanismo de autenticación. Este mecanismo de autenticación se basa en la seguridad de red, como el protocolo de seguridad de Internet (IPsec), para ayudar a asegurar la conexión. Para obtener más información acerca de los métodos de autenticación disponibles, consulte Protección de servidores de transporte.

Implementar un servidor de transporte perimetral en una organización de Exchange de 2003

Para todas las implementaciones, primero debe crear un conector de envío desde el servidor de transporte perimetral a Internet. Luego, configure el flujo de correo según corresponda al método de autenticación seleccionado.

Crear un conector de envío desde el servidor de transporte perimetral a Internet

Deberá tener asignados permisos antes de poder llevar a cabo este procedimiento. Para ver qué permisos necesita, consulte el contenido "Servidor de transporte perimetral" en el tema Permisos de transporte.

Use el Asistente para nuevo conector de envío en la EMC para crear un conector de envío en el servidor de transporte perimetral con la siguiente configuración:

  • Página de introducción   En Seleccione el uso que se quiere dar a este conector de envío, seleccione Internet.

  • Página de espacio de direcciones   Haga clic en Agregar, y en el cuadro de diálogo Espacio de direcciones SMTP, escriba * (un asterisco).

Para conocer los pasos detallados, consulte Crear un conector de envío SMTP.

Como alternativa, puede usar el cmdlet New-SendConnector para crear el conector en el Shell. En este ejemplo, se crea el conector de envío A Internet, que usa DNS para enrutar los mensajes.

New-SendConnector -Name "To Internet" -AddressSpaces * -Usage Internet -DNSRoutingEnabled $true

Si usa un host inteligente para enrutar los mensajes a Internet, primero necesita usar diferentes parámetros. En este ejemplo, se crea el mismo conector de envío pero se configura para que use el host inteligente 10.10.1.1 en vez de DNS para enrutar los mensajes.

New-SendConnector -Name "To Internet" -AddressSpaces * -Usage Internet -DNSRoutingEnabled $false -SmartHosts "10.10.1.1"

Para obtener información detallada acerca de la sintaxis y los parámetros, consulte New-SendConnector.

Nota

Cuando instala el rol de servidor Transporte perimetral, un conector de recepción se crea configurado para recibir mensajes de correo de Internet. Por lo tanto, no necesita crear un conector de recepción que corresponda al conector de envío que creó en esta sección.

Configurar el flujo de correo entre el servidor de transporte perimetral y la organización de Exchange 2003 mediante la autenticación básica sobre TLS

Los procedimientos de esta sección lo ayudan a configurar el flujo de correo seguro entre el servidor de transporte perimetral y la organización de Exchange 2003 mediante la autenticación básica sobre TLS.

Deberá tener asignados permisos antes de poder llevar a cabo este procedimiento. Para ver qué permisos necesita, consulte el contenido "Servidor de transporte perimetral" en el tema Permisos de transporte.

Configurar las credenciales para el flujo de correo autenticado

  1. Cree las credenciales que use el servidor de transporte perimetral para autenticar el servidor de Exchange 2003. Cree una cuenta de usuario en Active Directory que sirva a la organización de Exchange. Agregue la cuenta de usuario al grupo de seguridad de servidores de dominio de Exchange.

    Importante

    A esta cuenta se conceden los permisos y derechos asignados a servidores de Exchange. Asegúrese de proteger las credenciales de la cuenta para evitar el uso indebido de ésta. Puede configurar la cuenta para habilitar el inicio de sesión únicamente en equipos específicos.

  2. En el servidor de transporte perimetral, cree las credenciales que usa el servidor de Exchange 2003 para autenticar el servidor de transporte perimetral. Cree una cuenta de usuario en la carpeta Usuarios en el contenedor Usuarios locales y grupos en el servidor de transporte perimetral.

Configurar Exchange 2003 para aceptar mensajes desde el servidor de transporte perimetral

En el servidor o servidores de Exchange 2003 que recibirán los mensajes desde el servidor de transporte perimetral, compruebe que el servidor virtual de SMTP está configurado para habilitar la autenticación básica sobre TLS.

  1. Abra el Administrador del sistema de Exchange. Expanda el nodo Servidores. Expanda el servidor deseado. Expanda el nodo Protocolos. Expanda SMTP. Haga clic con el botón secundario en Servidor virtual SMTP predeterminado y seleccione Propiedades.

  2. Haga clic en la ficha Acceso y, a continuación, haga clic en Autenticación.

  3. En el cuadro de diálogo Autenticación, seleccione Autenticación básica (la contraseña se envía como texto no cifrado) y Requiere cifrado TLS. Haga clic en Aceptar.

  4. Haga clic en Aceptar para cerrar Propiedades predeterminadas de servidor virtual SMTP.

Crear un conector de envío desde el servidor de transporte perimetral a la organización de Exchange 2003

Use el Asistente para nuevo conector de envío en la EMC para crear un conector de envío en el servidor de transporte perimetral con la siguiente configuración:

  • Página de introducción   En Seleccione el uso que se quiere dar a este conector de envío, seleccione Interno.

  • Página de espacio de direcciones   Haga clic en Agregar para abrir el cuadro de diálogo Espacio de direcciones SMTP. En este cuadro de diálogo, escriba – en el campo de dirección. El carácter es un marcador que representa todos los dominios de retransmisión interna y con autorización en su configuración de dominios. De forma alternativa, puede enumerar cada dominio como entrada independiente. Deje el resto de los campos con la configuración predeterminada y haga clic en Aceptar.

  • En la página Configuración de red   En Enrutar el correo a través de los siguientes hosts inteligentes, introduzca la dirección IP o el nombre de dominio completo (FQDN) del servidor cabeza de puente de Exchange 2003 que recibirá los mensajes desde el servidor de transporte perimetral. Si configura más de un servidor cabeza de puente como host inteligente, las conexiones desde el servidor de transporte perimetral tendrán equilibrada la carga entre hosts inteligentes.

  • En la página Configurar los valores de autenticación de hosts inteligentes   Seleccione Autenticación básica y Autenticación básica sobre TLS. En los campos Nombre de usuario y Contraseña, escriba las credenciales de la cuenta de usuario que ha creado en la sección "Configurar las credenciales para el flujo de correo autenticado" más adelante en este tema.

    Para conocer los pasos detallados, consulte Crear un conector de envío SMTP.

Como alternativa, puede usar el cmdlet New-SendConnector para crear el conector en el Shell. En este ejemplo, se crea el conector de envío A organización de Exchange con las opciones de configuración requeridas y se designan los servidores 10.10.1.10 y 10.10.1.11 como servidores cabeza de puente de Exchange 2003 que recibirán mensajes de correo desde el servidor de transporte perimetral.

$mycred = get-credential

En el cuadro de diálogo que aparece, escriba las credenciales de la cuenta de usuario que ha creado en la sección "Configurar las credenciales para el flujo de correo autenticado". Use el formato dominio\usuario o el formato de nombre principal de usuario (UPN) para escribir el nombre de usuario y, luego, proporcionar la contraseña de usuario. Haga clic en Aceptar.

New-SendConnector -Name "To Exchange Organization" -Usage Internal -AddressSpaces "--" -DNSRoutingEnabled $false -SmartHosts "10.10.1.10","10.10.1.11" -SmartHostAuthMechanism BasicAuthRequireTLS -AuthenticationCredential $mycred

Para obtener información detallada acerca de la sintaxis y los parámetros, consulte New-SendConnector.

Una vez creado el conector de envío, debe otorgar los permisos requeridos para habilitar la transmisión de datos XExch50 desde el servidor de transporte perimetral al servidor de Exchange 2003 al ejecutar este comando en el Shell.

Add-AdPermission -Identity "To Exchange Organization" -User "NT Authority\Anonymous Logon" -ExtendedRights ms-Exch-SMTP-Send-Exch50

Crear un conector de recepción en el servidor de transporte perimetral para aceptar mensajes de la organización de Exchange 2003

Use el Asistente para nuevo conector de recepción en la EMC para crear un conector de recepción en el servidor de transporte perimetral con la siguiente configuración:

  • Página de introducción   En Seleccione el uso que se quiere dar a este conector de recepción, seleccione Interno.

  • En la página Configuración de red remota   Elimine todos los intervalos de red y agregue direcciones IP de los servidores cabeza de puente de Exchange 2003 que retransmitirán los mensajes al servidor de transporte perimetral.

Una vez creado el conector, modifique el método de autenticación al seleccionar Autenticación básica y Ofrecer autenticación básica sólo después de iniciar TLS en la ficha Autenticación de las propiedades del conector. Para obtener instrucciones detalladas, consulte Crear un conector de recepción SMTP y Configurar propiedades del conector de recepción.

Como alternativa, puede usar el cmdlet New-ReceiveConnector para crear el conector en el Shell. En este ejemplo, se crea el conector de recepción De organización de Exchange con las opciones de configuración requeridas y se establece que los servidores 10.10.1.10 y 10.10.1.11 son los únicos desde los cuales el conector de recepción aceptará mensajes.

New-ReceiveConnector -Name "From Exchange Organization" -Usage Internal -RemoteIPRanges 10.10.1.10,10.10.1.11 -AuthMechanism TLS,BasicAuth,BasicAuthRequireTLS -Bindings 0.0.0.0:25

En el servidor de transporte perimetral, ejecute este comando en el Shell para conceder permisos en el nuevo conector de recepción para la cuenta de usuario local creada en la sección "Configurar las credenciales para el flujo de correo autenticado"

Add-AdPermission -Identity "Receive Connector Name" -User Edge\Contoso -ExtendedRights ms-Exch-SMTP-Submit,ms-Exch-Accept-Headers-Routing,ms-Exch-SMTP-Accept-Any-Recipient,ms-Exch-SMTP-Accept-Authoritative-Domain-Sender

Importante

A esta cuenta se conceden los permisos que la habilitan para retransmitir mensajes a través del servidor de transporte perimetral. Asegúrese de proteger las credenciales de la cuenta para evitar el uso indebido de ésta.

Configurar Exchange 2003 para enviar mensajes al servidor de transporte perimetral

En el servidor de Exchange 2003, siga estos pasos para crear un conector SMTP configurado para retransmitir todo el correo electrónico de Internet a través del servidor de transporte perimetral y usar la autenticación básica sobre TLS para ayudar a proteger la conexión:

  1. Abra el Administrador del sistema de Exchange. Haga clic con el botón secundario en el contenedor Conectores ubicado en el grupo de enrutamiento donde reside el servidor que hospedará este conector, seleccione Nuevo y después Conector SMTP.

    Nota

    Si no se muestra ningún grupo de enrutamiento en el Administrador del sistema de Exchange, haga clic con el botón secundario en el contenedor de la organización de Exchange, seleccione Propiedades y, a continuación, seleccione la casilla Mostrar grupos de enrutamiento.

  2. Seleccione la ficha General. En el campo Nombre, escriba un nombre único para el conector.

  3. Seleccione Reenviar el correo a través de este conector al siguiente host inteligente y escriba la dirección IP o el FQDN del servidor de transporte perimetral. Si escribe una dirección IP, debe aparecer entre corchetes; por ejemplo: [192.168.1.1].

  4. Haga clic en Agregar para agregar un servidor cabeza de puente local. En el cuadro de diálogo Agregar cabeza de puente, seleccione uno o varios servidores de Exchange 2003.

  5. Seleccione la ficha Espacio de direcciones y, a continuación, haga clic en Agregar para crear un espacio de direcciones. En la ficha Agregar espacio de direcciones, seleccione SMTP y haga clic en Aceptar.

  6. En la página Propiedades de espacio de direcciones de Internet, escriba * y, a continuación, haga clic en Aceptar.

  7. Haga clic en la ficha Avanzadas y, a continuación, haga clic en Seguridad saliente. En el cuadro de diálogo Seguridad saliente, seleccione Autenticación básica y, a continuación, haga clic en Modificar.

  8. En el cuadro de diálogo Credenciales de conexiónsaliente, escriba el nombre de usuario de la cuenta de usuario local que ha creado en el servidor de transporte perimetral, escriba la contraseña de la cuenta y, a continuación, haga clic en Aceptar.

  9. En el cuadro de diálogo Seguridad saliente, seleccione Cifrado TLS. Haga clic en Aceptar para cerrar el cuadro de diálogo Seguridad saliente. Haga clic en Aceptar.

Configurar el flujo de correo entre el servidor de transporte perimetral y la organización de Exchange 2003 mediante el acceso anónimo

Los procedimientos de esta sección lo ayudan a configurar el flujo de correo no autenticado entre el servidor de transporte perimetral y la organización de Exchange 2003 mediante el acceso anónimo.

Deberá tener asignados permisos antes de poder llevar a cabo este procedimiento. Para ver qué permisos necesita, consulte el contenido "Servidor de transporte perimetral" en el tema Permisos de transporte.

Configurar Exchange 2003 para aceptar mensajes desde el servidor de transporte perimetral

  1. En el servidor o servidores de Exchange 2003 que recibirán los mensajes desde el servidor de transporte perimetral, compruebe que el servidor virtual de SMTP esté configurado para habilitar el acceso anónimo:

    1. Abra el Administrador del sistema de Exchange. Expanda el nodo Servidores. Expanda el servidor deseado. Expanda el nodo Protocolos. Expanda SMTP. Haga clic con el botón secundario en Servidor virtual SMTP predeterminado y, a continuación, seleccione Propiedades.

    2. Haga clic en la ficha Acceso y, a continuación, haga clic en Autenticación.

    3. En el cuadro de diálogo Autenticación, seleccione Acceso anónimo. Haga clic en Aceptar.

  2. Configure la restricción de retransmisiones para el servidor de Exchange 2003 a fin de habilitar únicamente el servidor de transporte perimetral para retransmitir a través de este servidor virtual:

    1. En la ficha Acceso de Propiedades predeterminadas de servidor virtual SMTP, haga clic en Retransmisión.

    2. En el cuadro de diálogo Restricciones de retransmisión, seleccione Sólo la lista que aparece a continuación y, luego, haga clic en Agregar.

    3. En el cuadro de diálogo Equipo, seleccione Equipo único para especificar una única dirección IP o seleccione Grupo de equipos para especificar intervalo de direcciones IP. Haga clic en Aceptar.

    4. En el cuadro de diálogo Restricciones de retransmisión, compruebe que esté seleccionada la casilla Permitir la retransmisión a todos los equipos que se autentican correctamente, independientemente de la lista que aparece más arriba. Haga clic en Aceptar.

    5. Haga clic en Aceptar para cerrar Propiedades predeterminadas de servidor virtual SMTP.

  3. Realice estos pasos para modificar la configuración del registro en el servidor cabeza de puente de Exchange 2003 para permitir que el servidor de Exchange 2003 envíe y reciba propiedades XExch50 anónimamente:

    Advertencia

    La edición incorrecta del Registro puede causar graves problemas que pueden hacer necesario volver a instalar el sistema operativo. Es posible que los problemas derivados de una edición incorrecta del Registro no se puedan solucionar. Antes de editar el Registro, realice una copia de seguridad de los datos importantes.

    1. Abra el Editor del registro.

    2. Localice HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SMTPSVC\XEXCH50.

    3. Haga clic con el botón secundario en XEXCH50 y seleccione Nuevo | Valor DWORD. Escriba SuppressExternal para el nombre de valor. De forma predeterminada, los datos del valor son 0. Esto indica que las propiedades de XEXCH50 se transmiten al servidor remoto de forma anónima.

    4. Haga clic con el botón secundario en XEXCH50 y seleccione Nuevo | Clave. Escriba el número de instancia del servidor virtual SMTP como valor de la clave. Por ejemplo, la instancia de servidor virtual predeterminada es 1, mientras que la del segundo servidor virtual SMTP creado en un servidor es 2.

    5. Haga clic con el botón secundario en la clave recién creada, seleccione Nuevo y haga clic en Valor DWORD.

    6. En el panel de detalles, escriba Exch50AuthCheckEnabled para el nombre de valor. De forma predeterminada, los datos del valor son 0. Esto indica que las propiedades de XEXCH50 se transmiten cuando se envía un correo electrónico de forma anónima.

Crear un conector de envío desde el servidor de transporte perimetral a la organización de Exchange 2003

Use el Asistente para nuevo conector de envío en la EMC para crear un conector de envío en el servidor de transporte perimetral con la siguiente configuración:

  • Página de introducción   En Seleccione el uso que se quiere dar a este conector de envío, seleccione Interno.

  • En la página Espacio de direcciones   Escriba el carácter --, que es un marcador que representa todos los dominios de retransmisión interna y con autorización en su configuración de dominios aceptados. De forma alternativa, puede enumerar cada dominio como entrada independiente.

  • E la página Configuración de red   En Enrutar el correo a través de los siguientes hosts inteligentes, introduzca la dirección IP o el FQDN del servidor cabeza de puente de Exchange 2003 que recibirá los mensajes desde el servidor de transporte perimetral. Si configura más de un servidor cabeza de puente como host inteligente, las conexiones desde el servidor de transporte perimetral tendrán equilibrada la carga entre hosts inteligentes.

  • En la página Configurar los valores de autenticación de hosts inteligentes   Seleccione Protegido externamente (por ejemplo con IPsec).

Crear un conector de recepción en el servidor de transporte perimetral para aceptar mensajes de la organización de Exchange 2003

Use el Asistente para nuevo conector de recepción en la EMC para crear un conector de recepción en el servidor de transporte perimetral con la siguiente configuración:

  • Página de introducción   En Seleccione el uso que se quiere dar a este conector de recepción, seleccione Interno.

  • En la página Configuración de red remota   Elimine todos los intervalos de red y agregue direcciones IP de los servidores cabeza de puente de Exchange 2003 que retransmitirán los mensajes al servidor de transporte perimetral.

Una vez creado el conector, modifique el método de autenticación al seleccionar Protegido externamente (por ejemplo con IPsec) en la ficha Autenticación de las propiedades del conector. Desactive todas las demás opciones de autenticación. Para obtener instrucciones detalladas, consulte Crear un conector de recepción SMTP y Configurar propiedades del conector de recepción.

Como alternativa, puede usar el cmdlet New-ReceiveConnector para crear el conector en el Shell. En este ejemplo, se crea el conector de recepción De organización de Exchange con las opciones de configuración requeridas y se establece que los servidores 10.10.1.10 y 10.10.1.11 son los únicos desde los cuales el conector de recepción aceptará mensajes.

New-ReceiveConnector -Name "From Exchange Organization" -Usage Internal -RemoteIPRanges 10.10.1.10,10.10.1.11 -AuthMechanism ExternalAuthoritative -Bindings 0.0.0.0:25

Importante

Si especifica un intervalo de dirección IP en vez de direcciones IP específicas para este conector de recepción, podrá habilitar todas las conexiones desde el intervalo de dirección IP remota para retransmitir mensajes a través el servidor de transporte perimetral. En este escenario, asegúrese de que existe una conexión de red de confianza entre el servidor de transporte perimetral y la organización de Exchange.

Configurar Exchange 2003 para enviar mensajes al servidor de transporte perimetral

En el servidor de Exchange 2003, siga estos pasos para crear un conector SMTP configurado para retransmitir todos los mensajes de correo electrónico de Internet a través del servidor de transporte perimetral:

  1. Abra el Administrador del sistema de Exchange. Haga clic con el botón secundario en el contenedor Conectores ubicado en el grupo de enrutamiento donde reside el servidor que hospedará este conector, seleccione Nuevo y después Conector SMTP.

    Nota

    Si no se muestra ningún grupo de enrutamiento en el Administrador del sistema de Exchange, haga clic con el botón secundario en el contenedor de la organización de Exchange, seleccione Propiedades y, a continuación, seleccione la casilla Mostrar grupos de enrutamiento.

  2. Seleccione la ficha General. En el campo Nombre, escriba un nombre único para el conector.

  3. Seleccione Reenviar el correo a través de este conector al siguiente host inteligente y escriba la dirección IP o el FQDN del servidor de transporte perimetral. Si escribe una dirección IP, debe aparecer entre corchetes; por ejemplo: [192.168.1.1].

  4. Haga clic en Agregar para agregar un servidor cabeza de puente local. En el cuadro de diálogo Agregar cabeza de puente, seleccione uno o varios servidores de Exchange 2003.

  5. Seleccione la ficha Espacio de direcciones y, a continuación, haga clic en Agregar para crear un espacio de direcciones. En la ficha Agregar espacio de direcciones, seleccione SMTP y haga clic en Aceptar.

  6. En la página Propiedades de espacio de direcciones de Internet, escriba * y, a continuación, haga clic en Aceptar.

  7. Haga clic en Aceptar para cerrar la página de propiedades del conector SMTP.

 © 2010 Microsoft Corporation. Reservados todos los derechos.